SNAKE Ransomware е следващата заплаха, насочена към бизнес мрежите

SNAKE Ransomware е следващата заплаха, насочена към бизнес мрежите

Въпреки че  мрежовите администратори вече разполагат с достатъчно голяма порция заплахи, те сега трябва да се притесняват за нов софтуер за получаване на откуп на име SNAKE, който е насочен към техните мрежи и има за цел да криптира всички устройства, свързани в тях.

SNAKE се използва от престъпници, които проникват в бизнес мрежа, събират администраторски идентификационни данни и след това използват инструменти за след експлоатация, за да криптират файловете на всички компютри в мрежата.

Списъкът на заплахите, насочени към откуп, бавно се разраства и включва Ryuk, BitPaymer, DoppelPaymer, Sodinokibi, Maze, MegaCortex, LockerGoga, а сега и Snake Ransomware.

Какво знаем за SNAKE

Snake Ransomware беше открита миналата седмица от екип специалисти по киберсигурност, който се обърна към инж.  Витали Кремс, за да изкследва заплахата по-подробно.

Въз основа на анализа, извършен от Кремс, този софтуер е написан на Golang и съдържа много по-високо ниво на запушване, отколкото обикновено се наблюдава при тези видове инфекции.

„Откупният софтуер съдържа ниво на рутинна обтурация, каквото не е достигано преди и обикновено се наблюдава в съчетание с целевия подход“, каза Кремс.

Когато започне, Snake премахва  Shadow Volume Copies на компютъра и след това убива множество процеси, свързани със SCADA системите, виртуални машини, индустриални системи за управление, инструменти за дистанционно управление, софтуер за управление на мрежата и други.

След това се пристъпва към криптиране на файловете на устройството, като се прескачат всички, които са разположени в системните папки на Windows и различни системни файлове. Списъкът на системните папки, които се прескачат, може да намерите по-долу:

windir

SystemDrive

:\$Recycle.Bin

:\ProgramData

:\Users\All Users

:\Program Files

:\Local Settings

:\Boot

:\System Volume Information

:\Recovery

\AppData\

 При криптиране на файл той добавя още  5 знака към разширението на файловете. Например файл с име 1.doc ще бъде кодиран и преименуван като 1.docqkWbv.

Във всеки файл, който е криптиран, SNAKE Ransomware ще добави маркера на файла „EKANS“, показан по-долу. EKANS е SNAKE в обратен ред.

В последните 7 години са тествани много  вируси и поради някаква причина, на Snake е необходимо много време, за да шифрова малка тестова кутия в сравнение с много други зарази за рансъмуер. Тъй като това е таргетиран вирус за  откуп, който се изпълнява по време на избора на нападателя, това може да не е толкова голям проблем, тъй като шифроването най-вероятно ще се появи след часове. C: Папка Потребители \ Публична \ Desktop с име Fix-Your-Files.txt. Тази бележка за откуп съдържа инструкции за връзка с посочен имейл адрес за инструкции за плащане. Този имейл адрес в момента е bapcocrypt@ctemplar.com.

Този софтуер за откуп все още се анализира за слабости и не се знае дали може да бъде дешифриран безплатно. В този момент обаче изглежда непробиваем.

Източник: материали от интернет

Сподели в: